1、网站安全风险分析及对策 定义: 网站安全性分析即指,分析者论述威胁网站安全的原因,提出在建立网站时应合计的安全性目标以及防范手段。网站安全分析: 在登录之后实施加密有可能有用,这就像把大门关上以防止马儿跑出去一样,不过他们并没有对登录会话加密,这就有点儿像在你锁上大门时却将钥匙放在了锁眼里一样。即使你的登录会话被传输到了一个加密的资源,在许多状况下,这仍有可能被一个恶意的黑客攻克,他会精心地伪造一个登录表单,借以访问同样的资源,并访问敏感数据。 在市面目前有许多针关于网站安全的检测平台,不过这些大多数是收费的,而目前标榜免费就只有亿思网站安全检测平台iiscan。通过这些网站安全检测平台能够迅
2、速找到网站的安全隐患,而且这些平台都会提供针对其隐患做出相应措施。 使用不加密的连接(或仅使用轻度加密的连接),如使用不加密的FTP或HTTP用于Web站点或Web服务器的管理,就会将自己的大门向“中间人攻击和登录/口令的嗅探等手段敞开大门。因此请务必使用加密的协议,如SSH等来访问安全资源,要使用经证实的一些安全工具如OpenSSH等。否则,一旦某人截获了你的登录和口令信息,他就可以执行你可做的一切操作。 4.使用强健的、跨平台的兼容性加密依据目前的发展状况,SSL已经不再是Web网站加密的最先进技术。可 以合计TLS,即传输层安全,它是安全套接字层加密的继承者。要确保你所选择的任何加密方案
3、不会限制你的用户基础。同样的原则也适用于后端的管理,在这里SSH等跨平台的强加密方案要比微软的Windows远程桌面等较弱的加密工具要更可取、更有优越性。 避免从安全特性不可知或不确定的网络连接,也不要从安全性差劲的一些网络连接,如一些开放的无线访问点等。无论何时,只要你必必需登录到服务器或Web站点实施管理,或访问其它的安全资源时,这一点尤其重要。如果你连接到一个没有安全确保的网络时,还必必需访问Web站点或Web服务器,就必必需使用一个安全代理,这样你到安全资源的连接就会来自于一个有安全确保的网络代理。 共享登录机要信息会引起诸多安全问题。这不但适用于网站管理员或Web服务器管理员,还适用
4、于在网站拥有登录凭证的人员,客户也不应当共享其登录凭证。登录凭证共享得越多,就越可能更公开地共享,甚至对不应当访问系统的人员也是如此;登录机要信息共享得越多,要建立一个跟踪索引借以跟踪、追查问题的源头就越困难,而且如果安全性受到损害或威胁因而必需要改变登录信息时,就会有更多的人受到影响。 .7采纳基于密钥的认证而不是口令认证 口令认证要比基于密钥的认证更容易被攻破。设置口令的目的是在必需要访 问一个安全的资源时能够更容易地记住登录信息。不过如果使用基于密钥的认证,并仅将密钥复制到预定义的、授权的系统(或复制到一个与授权的系统相分开的独立介质中,直接必需要它时才取回。),你将会得到并使用一个更强健的难于破解的认证凭证。 网站安全问题的原因何在 1.大多数网站制定,只合计正常用户稳定使用 但在黑客对漏洞敏锐的发觉和充分利用的动力下,网站存在的这些漏洞就被挖掘出来,且成为黑客们直接或间接获取利益的机会。关于Web应用程序的SQL注入漏洞,有试验说明,通过搜寻1000个网站取样测试,检测到有11.3%存在SQL注入漏洞。
浙ICP备2021020529号-1 | 浙B2-20240490 
